Domenic Iacovone周五晚上接到了苹果的一个不寻常的电话。他收到了几条要求他重置Apple ID密码的消息,因此怀疑来电者是电信诈骗。但电话是在他的iPhone上打来的,因为苹果公司(Apple Inc.)与苹果的在线商店有关,所以回电了。电话另一边的人说Iacovone的帐户已被泄露,他们需要苹果发送到他的iPhone的一次性代码,以确保他是该帐户的所有者。艾科沃内给了他们。两秒钟后,他在Twitter帖子中回忆说,他的加密钱包被清空了。
估计价值 650,000 美元的加密货币和 NFT 瞬间消失了。
Iacovone 说从小狐狸钱包中被盗的资产中至少有价值 160,000 美元的以太币、价值约 80,000 美元的突变猿游艇俱乐部 NFT 和 100,000 美元的猿币加密货币。据报道,Iacovone还拥有25万美元的Tether,这是一种与美元挂钩的稳定币。
该事件不仅仅是一个复杂的、社会工程化的网络钓鱼黑客。加密货币和 NFT 交易者提出的直接问题是:访问 iCloud 如何让黑客访问某人的加密钱包?当您创建钱包时,您将获得一个 12 个单词的助记词,这是在新设备上访问钱包所必需的。加密货币交易的第一条规则是不惜一切代价保护您的种子短语。除非一个人将他们的助记词写在存储在iCloud上的文档中 – Iacovone没有 – 否则并不意味着iCloud访问会导致MetaMask访问。
正如一位名为Serpent的加密安全专家所发现的那样,答案是使用iPhone上的MetaMask应用程序会自动将种子短语文件存储到iCloud上。最常用的基于以太坊的钱包MetaMask周日在Twitter上就发现的安全漏洞发表了一份声明,为用户提供了如何禁用iCloud备份的说明。
“关键要点,”Serpent在他们的Twitter帖子中写道。“始终使用冷钱包来存放贵重物品。切勿向任何人提供验证码。保护您的信息,不要泄露您的电话号码或个人电子邮件。来电者信息很容易被欺骗。像苹果这样的公司永远不会给你打电话。
“已经从一个人那里偷走了65万美元,这将发生在更多的人身上,”他写道。
这一事件凸显了去中心化金融的主要缺点,即缺乏任何中央机构来撤销或退还损害赔偿。区块链交易无法逆转,这意味着小狐狸钱包或任何其他公司无法退还丢失的资产。OpenSea 是最大的 NFT 市场,它只能将 Iacovone 的账户标记为“可疑”,以劝阻其他人购买他被盗的 NFT。为时已晚,因为从钱包中偷来的变异猿很快就以80,000美元(26.5以太)的价格出售。